Umowa powierzenia danych osobowych diabeł tkwi w szczegółach

Znaczenie umowy powierzenia przetwarzania danych osobowych

Umowa powierzenia jest niezbędnym instrumentem prawnym, gdy Twoja firma (Administrator) zleca wykonanie usług podmiotowi zewnętrznemu (Procesorowi), co wiąże się z dostępem do danych osobowych (np. firma ochroniarska, biuro rachunkowe, firma IT, zewnętrzna kadrowa).
Kluczowe funkcje umowy:Legalność (Art. 28 RODO): Jest to obowiązek prawny. Brak pisemnej (lub elektronicznej) umowy przy przekazaniu danych podwykonawcy jest naruszeniem RODO, za które grożą kary finansowe.
Określenie granic: Precyzuje, co Procesor może robić z danymi (cel, zakres, czas), a czego mu nie wolno (np. nie może wykorzystywać danych Twoich pracowników do własnych celów marketingowych).
Gwarancja bezpieczeństwa: Procesor zobowiązuje się do wdrożenia odpowiednich zabezpieczeń technicznych i organizacyjnych, aby chronić dane przed wyciekiem.
Odpowiedzialność (Zasada rozliczalności): Umowa daje Ci prawo do kontroli i audytu u podwykonawcy. Pozwala wykazać przed urzędem (np. UODO), że dbasz o bezpieczeństwo danych na każdym etapie ich przetwarzania.

Kluczowy zapis umowy na przykładzie ochrony na biurze przepustek:

1.     Administrator jest uprawniony do powierzenia przetwarzania danych Podmiotowi przetwarzającemu oraz powierza mu dane zgromadzone zgodnie z obowiązującymi przepisami prawa.

2. Przedmiot przetwarzania: prowadzenie książki wejść i wyjść oraz wypisywanie przepustek jednorazowych. Obserwacja terenu poprzez urządzenia monitoringu.

3.   Charakter przetwarzania: książka jest prowadzona w formie papierowej do zapełnienia (ok 1 miesiąca) i przekazywana do p. Janusza Kowala, który wyda nową książkę. Przepustki są prowadzone w formie papierowej, do wyczerpania bloczku a wydane i zwrócone są przekazywane co zmianę do p. Janusza Kowala. Obserwacja na monitorze bez możliwości zapisu, utrwalania czy powielania obrazu lub zapisu.

4.   Cel przetwarzania: świadczenie usługi rejestracji w zakresie wejścia i wyjścia na teren firmy na biurze przepustek. Nadzór nad terenem z użyciem monitoringu Administratora .  W budynku Akwarium pokój 107.

5.     Rodzaj i kategoria przetwarzanych danych: …………………………

W zakresie książki wejścia i wyjścia:

a.     Imię i Nazwisko;

b.     PESEL lub nr dokumentu tożsamości; !!!!Uwaga: sprawdź czy przepisy pozwalają gromadzić te dane, ponieważ brak podstawy nie pozwala spisywać numer PESEL. To częsty błąd !!!!!!

W zakresie przepustki jednorazowej:

a.     Imię i Nazwisko;

 

W zakresie monitoringu:

a.     wizerunek;

6.     Kategorie osób, których dane dotyczą:

W zakresie książki wejścia i wyjścia:

a.     Goście;

b.     Kandydaci do pracy;

c.      Wnioskodawcy.

W zakresie przepustki jednorazowej:

a.     Goście;

b.     Kandydaci do pracy;

c.      Wnioskodawcy.

W zakresie monitoringu:

a.     Kandydaci do pracy.

b.     Pracownicy.

c.      Potencjalni klienci.

d.     Klienci.

e.      Potencjalni kontrahenci.

f.       Kontrahenci.

g.     Osoby trzecie znajdujące się na terenie monitorowanym.;

Zawsze podawaj dane kontaktowe osób odpowiedzialnych za realizację umowy głównej, ponieważ tam też trafi informacja o naruszeniu. Jak podadzą mail "sekretariatu" to cała firma będzie szukać o kogo chodzi i po wielu godzinach lub dniach trafią do nich a ty masz 
tylko 72 godziny na reakcję. 

Postanowienia końcowe

1.     Strony wyznaczają następujące osoby do kontaktu w sprawie powierzonych danych osobowych:

Po stronie Administratora:

W zakresie usługi rejestracji:

Janusz Kowal emalii: jkowal@firma.com.pl , tel (32) 432 …………..

W zakresie monitoringu:

Alojzy Oko emalii: aoko@firma.com.pl , tel (32) 432 …………..

 

Po stronie Wykonawcy: ………………………………………..

Pracodawca realizujący usługę „tajemniczego klienta” dla innych firm

 

Status w RODO – punkt wyjścia

W modelowym scenariuszu:

• firma, na rzecz której realizujesz usługę, jest administratorem danych,
• Ty – jako wykonawca – jesteś podmiotem przetwarzającym (art. 4 pkt 8 RODO),
• Twoi pracownicy (tajemniczy klienci) przetwarzają dane w Twoim imieniu.

Jeżeli jednak samodzielnie decydujesz o celach, zakresie danych lub późniejszym wykorzystaniu nagrań – możesz stać się współadministratorem, co znacząco zwiększa zakres obowiązków i ryzyk.

---

1. Umowa powierzenia przetwarzania danych (art. 28 RODO)

Przed rozpoczęciem realizacji usługi musisz posiadać z klientem umowę powierzenia przetwarzania danych, która wprost obejmuje:

• przetwarzanie danych:
• głosowych (dyktafon),
• wizerunkowych i głosowych (kamera),
• opisowych (protokół PDF),
• sposób przekazywania danych (np. e-mail) + hasło,
• czas przetwarzania i zasady usuwania danych,
• obowiązki w zakresie bezpieczeństwa,
• zakaz wykorzystywania danych do własnych celów.

Bez tej umowy nie wolno przetwarzać danych osobowych.

---

2. Legalność stosowania dyktafonu i kamery

Nagrania audio i wideo

Nagrania wykonywane w ramach mystery shoppingu:

• zawsze stanowią dane osobowe, jeżeli możliwa jest identyfikacja osoby,
• często są danymi wrażliwymi kontekstowo (głos, wizerunek, zachowanie).

Twoje obowiązki jako podmiotu przetwarzającego:

• nagrywasz wyłącznie w zakresie wskazanym przez administratora,
• nie decydujesz samodzielnie:
• czy nagrywać,
• jak długo przechowywać,
• komu udostępniać nagrania.

📌 Ważne: decyzja o dopuszczalności nagrań (np. test równowagi (balansu), obowiązek informacyjny wobec pracowników) leży po stronie administratora, ale Ty musisz działać ściśle w tych ramach.

---

3. Bezpieczeństwo narzędzi pracy (art. 32 RODO)

Masz obowiązek wdrożyć odpowiednie środki techniczne i organizacyjne, w szczególności:

Dyktafon i kamera

• zabezpieczenie urządzeń hasłem / PIN-em,
• brak prywatnego wykorzystywania sprzętu,
• niezwłoczne przenoszenie nagrań do bezpiecznego systemu,
• usuwanie danych z urządzeń po zakończeniu realizacji.

Protokół w PDF

• ograniczony dostęp tylko dla osób upoważnionych,
• zabezpieczenie plików hasłem (jeśli zawierają dane identyfikujące),
• brak lokalnego przechowywania „na zapas”.

Wysyłka e-mail

• wysyłka wyłącznie na wskazane adresy administratora,
• szyfrowanie załączników lub bezpieczne platformy wymiany plików,
• weryfikacja adresata przed wysyłką (minimalizacja ryzyka błędu).

---

4. Pracownicy jako osoby upoważnione

Jako pracodawca musisz zapewnić, że:

• każdy „tajemniczy klient” posiada upoważnienie do przetwarzania danych osobowych,
• pracownicy są przeszkoleni z RODO w kontekście nagrań i poufności,
• obowiązuje ich tajemnica służbowa także po zakończeniu współpracy.

Nie jest wystarczające ogólne szkolenie BHP lub regulamin pracy.

---

5. Zakaz wykorzystywania danych do własnych celów

Nie możesz:

• archiwizować nagrań „do celów dowodowych” bez polecenia administratora,
• używać nagrań w materiałach marketingowych lub szkoleniowych,
• wykorzystywać przypadków jako „case studies” z danymi identyfikującymi.

Każde takie działanie oznacza naruszenie RODO i wyjście poza rolę podmiotu przetwarzającego.

---

6. Wsparcie administratora i naruszenia danych

Masz obowiązek:

• pomagać administratorowi w realizacji praw osób, których dane dotyczą,
• niezwłocznie zgłaszać naruszenia ochrony danych, np.:
• zgubiony dyktafon,
• wysłanie protokołu na błędny adres,
• kradzież sprzętu.

Nie oceniasz samodzielnie „czy to poważne” – informujesz administratora.

---

7. Usunięcie lub zwrot danych po zakończeniu usługi

Po zakończeniu realizacji:

• usuwasz nagrania i protokoły,
• albo przekazujesz je administratorowi,
• dokumentujesz wykonanie tego obowiązku (na potrzeby rozliczalności).

---

Podsumowanie (w jednym zdaniu)

Jako pracodawca realizujący usługę „tajemniczego klienta” działasz na cudzym ryzyku prawnym, dlatego musisz ściśle trzymać się poleceń administratora, zapewnić wysoki poziom bezpieczeństwa nagrań i dokumentów oraz pełną kontrolę nad personelem i narzędziami.

Cechy szczególne administratora danych osobowych

 

Co rozumieć przez „cechy szczególne administratora danych osobowych”, dlaczego mają znaczenie dla oceny ryzyka i jak je uwzględnić w DPIA/analizie ryzyka krok po kroku.

Co to znaczy — „cechy szczególne administratora”?

To wszystkie właściwości i okoliczności związane z samym administratorem (firmą/organizacją), które wpływają na:

• prawdopodobieństwo wystąpienia incydentu (np. podatność na ataki, błędy operacyjne),
• skalę i rodzaj negatywnych skutków dla osób, których dane dotyczą (np. z uwagi na dostępność danych, zakres uprawnień, reputację administratora).

Innymi słowy: nie tylko „jakie” dane przetwarzamy, ale też kto je przetwarza i w jakim kontekście — to kształtuje profil ryzyka.

Główne kategorie cech szczególnych (szczegółowo)

1. Rozmiar i struktura organizacji

• Mała firma z ograniczonym IT i zasobami bezpieczeństwa → większe ryzyko błędów i opóźnionych reakcji.
• Duży podmiot z rozbudowanymi systemami → większy powierzchni ataku, rozproszona odpowiedzialność, ale zwykle lepsze procedury.

2. Branża / sektor działalności

• Sektory regulowane (opieka zdrowotna, finanse, ubezpieczenia, administracja publiczna) → większe wymagania prawne, większe konsekwencje regulacyjne i reputacyjne.
• Branże atrakcyjne dla przestępców (np. fintech) → większe ryzyko wywiadu/ataków.

3. Zakres i krytyczność przetwarzania

• Administrator przechowuje/zarządza danymi krytycznymi (dane zdrowotne, dane finansowe, dane dzieci) albo pełni centralną rolę (np. systemy płatności) → wyższe skutki naruszeń.

4. Pozycja i uprawnienia administratora wobec osób (asymetria władzy)

• Pracodawca wobec pracownika, szkoła wobec ucznia, podmiot medyczny wobec pacjenta → większa zależność i potencjalna możliwość nadużyć, mniejsze realne możliwości sprzeciwu po stronie osoby.

5. Model przetwarzania i łańcuch dostaw

• Powszechne korzystanie z procesorów (chmura, outsourcing) i rozproszony łańcuch dostaw → zwiększona złożoność, trudniejszy nadzór, większe ryzyko „słabego ogniwa”.

6. Poziom dojrzałości bezpieczeństwa informacji

• Polityki, procedury, szkolenia, SIEM, testy penetracyjne, zarządzanie podatnościami — ich brak zwiększa prawdopodobieństwo incydentów.

7. Historia incydentów i naruszeń

• Dotychczasowe wycieki, słaba reakcja kryzysowa, kary/regulacyjne sankcje → wyższe ryzyko ponownych problemów i większe konsekwencje reputacyjne.

8. Zasoby ludzkie i rotacja personelu

• Wysoka rotacja, outsourcing kluczowych funkcji, niewystarczające szkolenia → zwiększona podatność na błędy i nadużycia (np. insider threat → to zagrożenie, które powstaje w wyniku działań osób mających autoryzowany dostęp do systemów i zasobów organizacji, takich jak pracownicy, kontrahenci czy byli pracownicy).

9. Lokalizacja prawna i jurysdykcja

• Różne wymagania prawne (międzynarodowe transfery, lokalne regulacje) → większe ryzyko niezgodności i sankcji.

10. Reputacja i widoczność publiczna

• Duży podmiot publiczny lub brand o dużej rozpoznawalności → większe konsekwencje wizerunkowe po naruszeniu.

11. Model finansowy i dostępność środków

• Ograniczone budżety na bezpieczeństwo → mniejsze możliwości technicznych i organizacyjnych środków minimalizacji ryzyka.

Dlaczego te cechy wpływają na ocenę ryzyka

• Kontekst: ta sama ilość danych i ten sam typ incydentu może mieć odmienne skutki, gdy za przetwarzaniem stoi szpital vs. mały sklep.
• Skala wpływu: duży administrator może spowodować większą liczbę poszkodowanych lub poważniejsze skutki (np. systemy krytyczne).
• Możliwość zapobiegania i reagowania: dojrzały administrator szybciej zidentyfikuje i załagodzi incydent, redukując skutki.

Jak uwzględnić te cechy w praktycznej analizie ryzyka (krok po kroku)

1. Identyfikacja cech administratora
   Sporządź listę cech z powyższych kategorii: rozmiar, sektor, model przetwarzania, dostawcy, historia incydentów, budżet, poziom dojrzałości SI, itp.
2. Ocena wpływu na prawdopodobieństwo i ciężar skutków
   Dla każdej cechy określ, czy podnosi/obniża prawdopodobieństwo incydentu i/lub zwiększa zmienność skutków (np. wysoka widoczność → większe skutki reputacyjne).
3. Macierz ryzyka (przykład uproszczony)
• Prawdopodobieństwo: Rzadkie i mało prawdopodobne/ Średnio prawdopodobne/ Prawdopodobne/ Wysoce prawdopodobne/ Prawie pewne
• Skutki: Żaden/ Znikome/ Niskie / Średnie / Wysokie/ Bardzo Wysokie
  Oceń kombinację i policz ryzyko (np. Prawdopodobne × Wysokie = Wysokie).
4. Mapowanie cech na kontrolki/mitigacje
   Dla każdej cechy przypisz adekwatne środki (organizacyjne, techniczne, umowne). Przykłady poniżej.
5. Ocena ryzyka residualnego
   Po zastosowaniu środków oceniasz, czy ryzyko jest akceptowalne; jeśli nie — dodajesz dodatkowe kontrole lub rezygnujesz z przetwarzania.
6. Dokumentacja w DPIA / rejestrze ryzyka
   Zapisz: jaka cecha, jaki wpływ, zastosowane środki, odpowiedzialny, termin przeglądu.

Przykładowe środki dopasowane do cech administratora

• Mała organizacja / brak SI → wdrożenie podstawowych polityk bezpieczeństwa, szybkich szkoleń, reguł dostępu, backupu, prostych procedur reakcji na incydent.
• Sektor regulowany → dodatkowe audyty, rejestry przetwarzania, dedykowane procedury zgłaszania naruszeń do organu nadzorczego.
• Złożony łańcuch dostaw → audyty dostawców, klauzule umowne (DPA), ograniczenie transferów, monitoring SLA.
• Wysoka rotacja personelu → procedury offboarding, ograniczenia uprawnień, wdrażanie MFA, logowanie działań.
• Wysoka widoczność/reputacja → plan komunikacji kryzysowej, ubezpieczenie od cyberryzyka, testy odpornościowe.

Przydatna lista kontrolna (do wstawienia do DPIA)

• Czy administrator przetwarza dane w sektorze o zwiększonych wymaganiach? (TAK/NIE)
• Czy przetwarza dane szczególnych kategorii?
• Czy jest wysoka zależność między administratorem i osobą (np. pracownik → pracodawca)?
• Czy wiele procesorów/usług zewnętrznych uczestniczy w przetwarzaniu?
• Jak oceniasz dojrzałość SI (1–5)?
• Czy w ciągu ostatnich 3 lat miał miejsce incydent/naruszenie?
• Czy budżet na bezpieczeństwo jest wystarczający? (TAK/NIE/PIĘCIOSTOPNIOWA SKALA)
• Czy istnieje plan reakcji na incydent i testowany? (TAK/NIE)

Przykład zapisu w DPIA (skrót)

Cechy administratora: średniej wielkości firma e-commerce; wysoka rotacja w dziale obsługi; korzystanie z chmury publicznej i zewnętrznych dostawców płatności; wysoka ekspozycja marki.
Wpływ na ryzyko: zwiększone prawdopodobieństwo błędów ludzkich i ryzyko ataku skierowanego na systemy sprzedażowe; potencjalnie duże skutki reputacyjne.
Środki: polityki bezpieczeństwa, obowiązkowe szkolenia, MFA, regularne testy penetracyjne, umowy DPA z procesorami, plan komunikacji kryzysowej.
Ryzyko residualne: umiarkowane — do monitorowania; przegląd po 6 miesiącach.

Kilka praktycznych wskazówek końcowych

• Nie traktuj cech administratora jako „pasywnego” pola w DPIA — one aktywnie kształtują listę kontroli i poziom akceptowalnego ryzyka.
• Regularnie przeglądaj – cechy mogą się zmieniać (np. szybki wzrost, zmiana modelu przetwarzania, wejście w nowy rynek).
• Uwzględnij aspekt komunikacji: im większa widoczność i wpływ, tym bardziej szczegółowy powinien być plan komunikacji kryzysowej i śledzenia skutków dla osób, których dane dotyczą.

---

Pismo kandydata kiedy rekruter nie prześle mu notatek z rozmowy oraz informacji o przyczynach nie wybrania go w procesie rekrutacji

 

Wielu kandydatów pyta o notatki z rozmów i powody odrzucenia, a rekruterzy często odpowiadają, że to „informacje wewnętrzne” lub że „RODO nie daje prawa do poznania powodów decyzji”.

Zanim pokażę wzór pisma, krótkie wyjaśnienie, dlaczego rekruter może odmówić i jak kandydat może na to zareagować skutecznie i rzeczowo 👇

---

🔎 Kontekst prawny – co mówi RODO

• Art. 15 RODO daje kandydatowi prawo do dostępu do danych osobowych – a nie do wszystkich informacji „o nim” sensu largo (łac. w szerokim znaczeniu).
• Oznacza to, że kandydat może żądać kopii danych osobowych, np. notatek, jeśli zawierają dane o nim (oceny, opinie, spostrzeżenia).
• Rekruter może jednak usunąć lub zanonimizować fragmenty, które ujawniałyby dane innych osób albo elementy poufne procesu (np. wewnętrzne kryteria oceny, strategie rozmowy).

👉 Przyczyny niezakwalifikowania – to nie zawsze dane osobowe, ale jeśli np. w notatkach jest zapis: „brak doświadczenia w zarządzaniu zespołem” lub „słaba znajomość angielskiego” — to są dane osobowe, bo odnoszą się do osoby.
W takim przypadku kandydat może domagać się ich udostępnienia.

---

🧾 WZÓR PISMA – żądanie uzupełnienia odpowiedzi z art. 15 RODO

Miejscowość, data

[Imię i nazwisko kandydata]
[adres e-mail / adres korespondencyjny]

Do:

[nazwa firmy / administratora danych]

[adres / e-mail]

Wniosek o uzupełnienie informacji udzielonych w odpowiedzi na żądanie z art. 15 RODO

Szanowni Państwo,

dziękuję za udzielenie odpowiedzi na mój wniosek z dnia [data pierwszego wniosku] dotyczący dostępu do moich danych osobowych na podstawie art. 15 RODO.

Po zapoznaniu się z przesłaną informacją zauważyłem(am), że nie otrzymałem(am) kopii notatek z rozmowy rekrutacyjnej ani informacji dotyczących powodów niezakwalifikowania mnie do dalszego etapu rekrutacji.

Zgodnie z art. 15 ust. 1 i 3 RODO, prawo dostępu obejmuje nie tylko dane przekazane bezpośrednio przeze mnie, lecz również wszystkie dane osobowe, które Państwo wytworzyli lub utrwalili w toku przetwarzania — w tym oceny, opinie i inne informacje odnoszące się do mojej osoby.

W związku z tym uprzejmie proszę o:

1. przekazanie kopii notatek lub innych wewnętrznych dokumentów rekrutacyjnych zawierających dane osobowe na mój temat (np. oceny, komentarze, podsumowania rozmowy),
2. wskazanie — w sposób zrozumiały — głównych powodów decyzji o niezakwalifikowaniu mnie do dalszego etapu rekrutacji, o ile informacje te zostały utrwalone w dokumentacji procesu.

Jeżeli część informacji wymaga anonimizacji ze względu na prawa innych osób, proszę o ich udostępnienie w odpowiednio zanonimizowanej formie.

Z poważaniem,

[podpis – jeśli wysyłane w formie papierowej]

[imię i nazwisko]

---

💡 Dodatkowe uwagi praktyczne:

• Warto w piśmie nie używać tonu roszczeniowego, tylko powołać się spokojnie na art. 15 ust. 3 RODO i orzecznictwo (np. wyrok TSUE z 4.05.2023 r., C-487/21), które potwierdza, że notatki rekrutacyjne mogą być danymi osobowymi.
• Rekruter może odpowiedzieć np.:

„Nie przekazujemy notatek, ponieważ zawierają dane innych osób lub informacje objęte tajemnicą przedsiębiorstwa.”
Wtedy kandydat nie musi ponownie poprosić o wersję zanonimizowaną ponieważ już to zrobił w piśmie a rekruter ma obowiązek znać przepisy lepiej od ciebie. Dalsze bawienie się w pisma już nic nie zmieni i można całość zgłosić do UODO zgodnie z ich procedurą link: https://uodo.gov.pl/pl/526/2464

---

KLAUZULA INFORMACYJNA – CHATBOT (AI) NA STRONIE INTERNETOWEJ

 

KLAUZULA INFORMACYJNA – CHATBOT (AI) NA STRONIE INTERNETOWEJ

1. Administrator danych
   Administratorem Twoich danych osobowych jest [NAZWA FIRMY] z siedzibą w [ADRES], kontakt: [E-MAIL].
2. Inspektor ochrony danych (jeśli dotyczy)
   W sprawach związanych z ochroną danych osobowych możesz kontaktować się z Inspektorem Ochrony Danych pod adresem: [E-MAIL IOD].
3. Cele i podstawy przetwarzania danych
   Twoje dane osobowe przetwarzane są w celu:

• obsługi zapytań kierowanych za pośrednictwem chatbota,
• udzielania odpowiedzi i wsparcia użytkownika,
• poprawy jakości obsługi oraz analizy komunikacji.

Dane są przetwarzane z wykorzystaniem narzędzia opartego na sztucznej inteligencji (chatbot).

Podstawą prawną przetwarzania jest:

• art. 6 ust. 1 lit. b RODO (podjęcie działań przed zawarciem umowy lub realizacja umowy),
• art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes administratora polegający na zapewnieniu sprawnej komunikacji i obsługi użytkowników),
• [opcjonalnie: art. 6 ust. 1 lit. a RODO – zgoda, jeśli zbierasz ją np. marketingowo].

4. Zakres przetwarzanych danych
   Przetwarzamy dane przekazane dobrowolnie w trakcie rozmowy, w szczególności:

• imię (jeśli podane),
• adres e-mail lub inne dane kontaktowe,
• treść wiadomości i zapytań,
• dane techniczne (np. adres IP, identyfikator sesji, informacje o przeglądarce).

5. Zautomatyzowane przetwarzanie i AI
   Rozmowy mogą być obsługiwane automatycznie przez chatbot (AI).
   Odpowiedzi są generowane automatycznie na podstawie wprowadzonych danych.

Co do zasady, przetwarzanie to:

• nie prowadzi do podejmowania decyzji wywołujących skutki prawne wobec użytkownika.

[Jeśli inaczej – należy to opisać i rozbudować ten punkt.]

6. Odbiorcy danych
   Dane mogą być przekazywane:

• dostawcom systemów IT oraz narzędzi chatbot/AI,
• podmiotom wspierającym obsługę klienta,
• firmom hostingowym.

7. Przekazywanie danych poza EOG
   W związku z korzystaniem z narzędzi AI, dane mogą być przekazywane poza Europejski Obszar Gospodarczy (np. do USA).
   W takim przypadku stosujemy odpowiednie zabezpieczenia, w tym standardowe klauzule umowne.
8. Okres przechowywania danych
   Dane będą przechowywane przez okres niezbędny do obsługi zapytania, a następnie przez czas potrzebny do zabezpieczenia ewentualnych roszczeń lub poprawy jakości usług.
9. Prawa użytkownika
   Przysługuje Ci prawo do:

• dostępu do danych,
• ich sprostowania,
• usunięcia,
• ograniczenia przetwarzania,
• sprzeciwu wobec przetwarzania.

10. Prawo do skargi
    Masz prawo wnieść skargę do Prezesa Urzędu Ochrony Danych Osobowych.
11. Dobrowolność podania danych
    Podanie danych jest dobrowolne, jednak niezbędne do skorzystania z chatbota.

---

WAŻNE
Prosimy o nieprzekazywanie za pośrednictwem chatbota informacji wrażliwych (np. danych dotyczących zdrowia), chyba że jest to konieczne i odpowiednio zabezpieczone.

🧠 Pro tip (praktyka wdrożeniowa)

Dobrze dorzucić przy chatbocie krótki komunikat typu:

👉 „Rozmowa może być obsługiwana przez AI. Nie podawaj danych wrażliwych.”

 

Kierownik, który nieświadomie staje się administratorem danych

 

Kierownik, który nieświadomie staje się administratorem danych
– najczęstszy (i najbardziej niebezpieczny) błąd w organizacjach

---

„To tylko decyzja operacyjna…”
„Zarząd nie musi o tym wiedzieć…”
„Tak będzie szybciej…”

I właśnie w tym momencie zaczyna się problem.

---

❗ Kiedy kierownik „wchodzi w buty” administratora?

Zgodnie z RODO nie liczy się stanowisko.
Liczy się to, kto faktycznie decyduje.

👉 Jeśli kierownik:
✔ sam określa cele przetwarzania (PO CO)
✔ sam wybiera sposoby (JAK)
✔ działa bez wiedzy / kontroli zarządu

to może się okazać, że:

💥 nie jest już tylko pracownikiem
💥 tylko staje się… administratorem danych (de facto)

---

⚖️ Dlaczego to jest tak groźne?

Bo znika „parasol ochronny” pracownika.

W praktyce pojawia się równoległa odpowiedzialność:

👉 organizacja
– za brak nadzoru, procedur, kontroli

👉 kierownik
– za działanie bez umocowania
– za faktyczne decyzje dotyczące danych

---

🔥 Najczęstszy scenariusz

Kierownik:
➡ wdraża nowe narzędzie / proces
➡ zmienia sposób przetwarzania danych
➡ „upraszcza” procedury

Zarząd:
➡ nic o tym nie wie

A potem:
📩 incydent
📩 skarga
📩 kontrola

I nagle pytanie nie brzmi:
„kto formalnie odpowiada?”

Tylko:
👉 kto faktycznie decydował

---

💡 Wniosek dla organizacji

RODO to nie tylko dokumenty.
To realny nadzór nad decyzjami operacyjnymi.

Jeśli go nie ma:
❗ kierownicy zaczynają działać „na własną rękę”
❗ a odpowiedzialność rozlewa się na wszystkich

---

🧠 Wniosek dla kierowników

Jeśli:
➡ decydujesz „po co” i „jak” przetwarzać dane
➡ bez jasnego umocowania

to ryzyko jest większe, niż myślisz.

---

RODO nie patrzy na strukturę organizacyjną.
RODO patrzy na rzeczywistość.

---

Jak to wygląda u Was?
Czy decyzje o danych są faktycznie kontrolowane, czy dzieją się „po cichu”?

IOD jako punkt kontaktowy

 

🛡️ AUDYT: IOD jako punkt kontaktowy (art. 39 ust. 1 lit. e RODO (Rozporządzenie 2016/679))

🔢 Jak korzystać z arkusza

Każde pytanie oceń:

• 0 pkt – brak / nie istnieje
• 1 pkt – częściowo wdrożone / działa nieformalnie
• 2 pkt – w pełni wdrożone i działa w praktyce

---

📋 SEKCJA 1: Dostępność i widoczność IOD (max 6 pkt)

☐ Czy dane kontaktowe IOD są publicznie dostępne (www, polityka prywatności)?
☐ Czy kontakt jest bezpośredni (np. dedykowany e-mail, nie formularz ogólny)?
☐ Czy komunikacja do IOD jest łatwa i intuicyjna dla użytkownika?

Ryzyko przy niskim wyniku:
➡️ utrudnianie realizacji praw osób (naruszenie RODO)
➡️ skargi do Urząd Ochrony Danych Osobowych

---

📋 SEKCJA 2: Obsługa organu nadzorczego (max 8 pkt)

☐ Czy IOD jest formalnie zgłoszony do UODO?
☐ Czy istnieje procedura obsługi kontroli / zapytań organu?
☐ Czy wiadomo, kto zbiera dane do odpowiedzi?
☐ Czy IOD koordynuje odpowiedzi (a nie tylko przekazuje dalej)?

Ryzyko:
➡️ chaos komunikacyjny przy kontroli
➡️ niespójne lub błędne odpowiedzi
➡️ zwiększone ryzyko kary

---

📋 SEKCJA 3: Obsługa żądań osób (DSAR) (max 10 pkt)

☐ Czy istnieje formalna procedura obsługi żądań (art. 15–22)?
☐ Czy IOD nadzoruje realizację żądań?
☐ Czy firma kontroluje termin niezwłocznie ale nie dłużej niż 1 miesiąc?
☐ Czy istnieje proces weryfikacji tożsamości?
☐ Czy pracownicy wiedzą, gdzie przekazać żądanie?

Ryzyko:
➡️ naruszenie praw osób fizycznych
➡️ przekroczenie terminów
➡️ bezpośrednie skargi i postępowania

---

📋 SEKCJA 4: Centralizacja komunikacji (max 6 pkt)

☐ Czy wszystkie sprawy dot. danych trafiają do IOD?
☐ Czy istnieje jeden punkt wejścia (mail / system)?
☐ Czy zapytania są rejestrowane i śledzone?

Ryzyko:
➡️ „rozproszone RODO” w organizacji
➡️ brak kontroli nad komunikacją
➡️ utrata informacji

---

📋 SEKCJA 5: Obieg informacji wewnętrznej (max 8 pkt)

☐ Czy są zdefiniowane osoby kontaktowe w działach (IT, HR, marketing)?
☐ Czy IOD ma szybki dostęp do informacji?
☐ Czy istnieją ustalone ścieżki komunikacji?
☐ Czy działy współpracują z IOD w praktyce?

Ryzyko:
➡️ opóźnienia odpowiedzi
➡️ błędne dane przekazywane do organu/osób
➡️ brak kontroli nad procesami

---

📋 SEKCJA 6: Incydenty (naruszenia) (max 8 pkt)

☐ Czy pracownicy wiedzą, że incydent zgłasza się do IOD?
☐ Czy istnieje procedura obsługi naruszeń?
☐ Czy IOD koordynuje komunikację przy incydencie?
☐ Czy firma potrafi podjąć decyzję w 72h?

Ryzyko:
➡️ brak zgłoszenia naruszenia
➡️ opóźnienia → wysokie kary
➡️ chaos komunikacyjny

---

📋 SEKCJA 7: Pozycja i niezależność IOD (max 8 pkt)

☐ Czy IOD ma dostęp do zarządu?
☐ Czy nie ma konfliktu interesów?
☐ Czy IOD jest angażowany w nowe projekty?
☐ Czy ma realny wpływ na decyzje?

Ryzyko:
➡️ IOD „na papierze”
➡️ brak realnej funkcji punktu kontaktowego
➡️ naruszenie zasady niezależności

---

📋 SEKCJA 8: Dokumentacja i dowody (max 6 pkt)

☐ Czy firma dokumentuje zapytania i odpowiedzi?
☐ Czy istnieje rejestr komunikacji z organem/osobami?
☐ Czy można wykazać działania IOD (rozliczalność)?

Ryzyko:
➡️ brak dowodów zgodności (3+4+)
➡️ problem w trakcie kontroli

---

🧮 SCORING KOŃCOWY

Maksymalnie: 60 punktów

🟢 50–60 pkt → NISKI POZIOM RYZYKA

• IOD realnie pełni funkcję punktu kontaktowego
• system działa operacyjnie

👉 Rekomendacja: optymalizacja i automatyzacja

---

🟡 30–49 pkt → ŚREDNI POZIOM RYZYKA

• funkcja istnieje, ale ma luki
• możliwe problemy przy kontroli lub incydencie

👉 Rekomendacja: ustandaryzowanie procesów + szkolenia

---

🔴 0–29 pkt → WYSOKIE RYZYKO

• funkcja punktu kontaktowego jest pozorna
• duże ryzyko naruszeń i sankcji

👉 Rekomendacja: pilne wdrożenie procedur i centralizacji

---

🔥 BONUS: Szybki test „reality check”

Jeśli choć jedno z poniższych = NIE → realne ryzyko:

☐ Czy każda skarga trafia do IOD?
☐ Czy firma odpowie UODO w 48h?
☐ Czy pracownik wie, co zrobić z żądaniem RODO?

---